Ошибка синхронизации Active Directory с Portal Office 365

azure logo

Добрый день! Уважаемый читатель, IT блога Pyatilistnik.org. Лет 10 назад, слово облако, вызывало у людей исключительно одну ассоциацию, белого пушистого комочка на голубом небе. Прошло немного лет, и в нашу жизнь ворвались технологии виртуализации, а с ними и облачные сервисы, давшие еще одно представление об этом слове. Есть такая замечательная организация Microsoft, подсадившая большую часть мира на ее офисные продукты и Active Directory. Благодаря нынешним технологиям, компаниям уже не обязательно разворачивать у себя инфраструктуру, в виде AD, все теперь можно делать в облаках, в данном случае оно называется Azure. Я как-нибудь более подробно расскажу про него, но не сегодня. Сейчас я хочу описать ситуацию, когда у меня на портале Azure по управлению лицензиями Office 365, нет нужного мне пользователя, который почему-то вообще числится, что он удален. Мы разберемся с процессом синхронизации локальной базы данных Active Directory с AD Azure и поправим получение офисных лицензий для сотрудника.

Описание проблемы

Как я и описал выше, моя компания купила некое количество лицензий на офисные продукты Microsoft Office 365. Распределение и управление лицензиями осуществляется, через специальный портал. Пользователи из локальной баз Active Directory синхронизируются с базой данных AD Azure. После чего сотрудникам назначаются лицензии. Сегодня ко мне поступила заявка, о том, что у пользователя выскакивает окно в котором сообщает ему, что есть проблемы с активацией офисного пакета. У пользователя установлена Windows 10. В какой-то момент у него стали появляться вот такие предупреждения.

Некоторые из ваших учетных записей требуют внимания

Ошибка учетной записи. К сожалению, сейчас нам не удается загрузить вашу учетную запись. Чтобы устранить эту проблему, войдите в систему еще раз.

Пользователь пробует перевойти .но в итоге получает все те же предупреждения.

Переходим на административный портал управления Active Directory Azure и Office 365, напоминаю, это адрес https://portal.office.com. Перейдите в раздел Microsoft 365 Admin Center. Найдите в нем вкладку пользователи и попробуйте найти вашего сотрудника, среди активных учетных записей. Лично в моем случае я не смог найти. Проверил синхронизации, все вроде хорошо.

Дай думаю загляну ради интереса в раздел "Удаленные пользователи". И какого же было мое удивление, когда я обнаружил тут нужного мне сотрудника. Он был в Microsoft 365 Admin Center отключен, хотя в моем локальном Active Directory с учетной записью проблем не было.

Если выбрать удаленную учетную запись, то у вас будет одно, доступное действие, это восстановить. У вас откроется окно восстановления, в котором вас предупредят:

Прежде чем восстанавливать пользователя Овчинникова, убедитесь, что у вас есть необходимая лицензия продукта. При восстановлении пользователя Овчинникова будут восстановлены все сопоставленные с ним данные и назначены соответствующие лицензии продуктов. Этот пользователь получит доступ ко всем службам, к которым он имел доступ, прежде чем был удален.

Английский вариант: Before you restore Овчинникова you need to make sure you have a product license available. Restoring Овчинникова will restore all associated data, assign product licenses, and give access to all services they could access before they were deleted.

Пробую выбрать автоматическое создание пароля, просто было интересно. так как я знал, что синхронизация односторонняя и только в сторону Active Directory Azure.

You cannot restore this user because it is been more than 30 days since you deleted them. You can create a new user, but the data associated with the user you are trying to restore has been permanently deleted and cannot be restored.

В восстановлении отказано с формулировкой, что мой пользователь был удален в Microsoft 365 Admin Center более месяца назад.

Из сложившейся ситуации я сделал вывод, что есть явная проблема с синхронизацией локально Active Directory и Azure, и то что я вижу, что якобы все синхронизируется не есть правда. Я решил сделать принудительную синхронизацию. Перед этим я посмотрел в какой OU находится учетная запись нужного мне сотрудника. Далее вы переходите на сервер, где установлена утилита Synchronization Service Azure AD Connect. И запускаем Synchronization Service.

В Synchronization Service Manager, переходите на вкладку с коннекторами (Connectors), выбираете вашу организацию и переходите в ее свойства (Properties)

Так как у меня стоит выборочная синхронизация из локального AD в AD Azure, то я полез в "Configure Directory Partitions", где нужно нажать кнопку "Containers", у вас будут запрошены учетные данные.

Проверяем все ли OU в которых у вас нужные пользователи выбраны для синхронизации с Azure Active Directory и сохраняем настройки.

Далее щелкаете на вкладке "Connectors" по вашей компании и выбираете "Run".

Выбираете полное импортирование "Full Import"

Вы уже должны заметить эффект вышеуказанных настроек в главном окне программы на вкладке "Operations". Будет запущено задание Full import в моем примере его статус in-progress, то есть в процессе выполнения. Синхронизация побежала.

Дожидаемся процесса синхронизации с облаком Microsoft. В самом низу у вас будет поле "Sinchronizatio Statistic" в котором вам покажут, сколько учетных записей было добавлено, удалено и обновлено. Я решил посмотреть кого добавили.

В списке Distinguished Name я вижу нужного мне сотрудника. Думаю, что победа.

Перехожу на портал управления лицензиями и пользователями, пробую поиск среди активных учетных записей, но сотрудника все нет. Думаю нужно наверное слегка подождать, прошел час, эффекта не было, сотрудник все числился в удаленных. Меня это не устроило и я стал искать варианты, как его удалить от туда. Для этого Microsoft имеет оболочку "Microsoft Azure Active Directory Module for Windows PowerShell". Найти ее можно на том же сервере, где у вас установлен Synchronization Service. Запускаем его от имени администратора.

Чтобы произвести подключение к порталу Office 365 нужно использовать вот такой командлет.

Connect-MsolService

У вас выскочит форма аутентификации, где нужно будет указать данные для доступа к порталу https://portal.office.com.

Далее нам необходимо найти удаленного пользователя в AD Azure и его ObjectID, так как удалять нужно именно по нему.

Get-MsolUser -ReturnDeletedUsers -Searchstring "ovch" | select UserPrincipalName, ObjectId

УДАЛЯЯ ТУТ ЗАПИСЬ ВЫ ЕЕ НЕ УДАЛИТЕ В СВОЕМ ACTIVE DIRECTORY

В моем случае я получил два пользователя, меня интересует верхний, я вижу его ObjectId, для удаления учетной записи есть такая конструкция

Remove-MsolUser -RemoveFromRecycleBin -ObjectId сам код

Вас попросят подтвердить, после чего учетная запись будет удалена из удаленных на портале, сделаем снова запрос на поиск и видим, что остался всего один пользователь.

Через минут 10 нужный мне пользователь уже присутствовал на портале, но он был не лицензирован.

Подробно про настройки лицензий вы можете почитать на https://docs.microsoft.com/ru-ru/office365/admin/subscriptions-and-billing/assign-licenses-to-users?redirectSourcePath=%252farticle%252f997596b5-4173-4627-b915-36abac6786dc&view=o365-worldwide&tabs=One

В двух словах, выбираете расположение, например Россия и далее указываете какие офисные продукты вы назначаете сотруднику. Если пользователь все так же будет получать "Ошибка учетной записи. К сожалению, сейчас нам не удается загрузить вашу учетную запись. Чтобы устранить эту проблему, войдите в систему еще раз", то просто разлогиньте его учетную запись из продуктов Microsoft на его компьютере и заново пройдите аутентификацию.

Принудительно синхронизировать Start-ADSyncSyncCycle -PolicyType Initial

Надеюсь, что было не сложно. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org,

Описание проблемы

Популярные Похожие записи: